Troyanoos
Páginas: 17 (4195 palabras)
Publicado: 11 de agosto de 2012
Cuaderno de notas del
OBSERVATORIO
Instituto Nacional de Tecnologías de la Comunicación
QUÉ SON Y CÓMO FUNCIONAN LOS TROYANOS BANCARIOS
En los últimos tiempos, las técnicas fraudulentas tradicionales (phishing) basadas en la ingeniería social han evolucionado, apoyándose en el uso de malware, en concreto, en troyanos. Así, hoy en día, la mayoría de estos especímenes de códigomalicioso están diseñados precisamente con el objetivo de conseguir beneficios económicos para sus creadores a través de los fraudes bancarios. ¿Qué son los troyanos bancarios? ¿Qué vectores de infección explotan estos ejemplares? ¿Cómo consiguen interceptar las credenciales de las entidades financieras? A continuación se dará respuesta a éstas y otras preguntas, analizando las principales familias detroyanos bancarios, e intentando concienciar al lector de la creciente amenaza de estos ejemplares. I ¿Qué es un troyano bancario?
Este término alude al subconjunto de malware que persigue el robo de datos de cuentas bancarias electrónicas. En este contexto otros servicios financieros, por ejemplo realizar operaciones de bolsa online, también se consideran banca electrónica. Los troyanos que sediseñaron específicamente para capturar información bancaria comenzaron a aparecer en 2004. Fue en este año cuando se notó una evolución en los keyloggers 1 , o capturadores de teclas tradicionales, ya que se detectaron ejemplares que filtraban la captura de datos en función de las páginas visitadas. Desde entonces las técnicas de captura de credenciales y de monitorización de entidades visitadas sehan depurado tanto que los consejos de seguridad tradicionales, como observar la presencia del candado de seguridad en la página de la entidad bancaria, comprobar la autenticidad del certificado de seguridad, etc. son insuficientes. Con el fin de recoger la información únicamente de las páginas visitadas por el usuario, estos troyanos suelen recoger y actualizar listados de entidades bancarias,bien en su cuerpo, bien en un archivo de configuración que crean o que descargan desde un servidor malicioso. Algunos de estos troyanos tienen enormes listas de cadenas de monitorización de actividad bancaria, por ejemplo, la familia Sinowal emplea más de 2000.
Es un tipo de troyano que se caracteriza por capturar y almacenar las pulsaciones efectuadas sobre el teclado. Posteriormente estainformación (que puede contener información sensible) se envía a un atacante, que las puede utilizar en su propio provecho. Las últimas versiones de este tipo de programas maliciosos también hacen capturas de pantalla del equipo atacado. De esta forma, se hace ineficaz e inseguro el uso del teclado virtual.
1
“Qué son y cómo funcionan los Página 1 de OBSERVATORIOtroyanos LA SEGURIDAD DE LAINFORMACIÓN13 DE bancarios” Observatorio de la Seguridad de la Información
Ilustración 1: Pequeño extracto del archivo de monitorización de entidades de un troyano bancario (Sinowal, Torpig, Anserin)
Fuente: INTECO
Existen dos corrientes principales de malware bancario, según el país de origen de los diseñadores de los códigos maliciosos, la brasileña y la rusa. Por lo general los ejemplaresde la escuela rusa suelen ser mucho más sofisticados y silenciosos. También cabría citar a China y Corea, como otros orígenes emergentes en la generación de este tipo de códigos maliciosos. II Situación actual de equipos afectados por troyanos y troyanos bancarios
Para remarcar la importancia de este tipo de códigos maliciosos, y como se puede observar en el gráfico, en la actualidad, aseptiembre de 2009, un 7,2% de los equipos analizados alojan algún tipo de troyanos bancarios.
Gráfico: Evolución de equipos que alojan troyanos bancarios (%)
100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Jun'09 Jul'09 Troyanos Ago'09 Troyanos bancarios Sep'09 9,1% 8,8% 8,5% 7,2% 41,8% 40,9% 40,3% 35,4%
Fuente: INTECO
“Qué son y cómo funcionan los troyanos bancarios” Observatorio de la Seguridad...
OBSERVATORIO
Instituto Nacional de Tecnologías de la Comunicación
QUÉ SON Y CÓMO FUNCIONAN LOS TROYANOS BANCARIOS
En los últimos tiempos, las técnicas fraudulentas tradicionales (phishing) basadas en la ingeniería social han evolucionado, apoyándose en el uso de malware, en concreto, en troyanos. Así, hoy en día, la mayoría de estos especímenes de códigomalicioso están diseñados precisamente con el objetivo de conseguir beneficios económicos para sus creadores a través de los fraudes bancarios. ¿Qué son los troyanos bancarios? ¿Qué vectores de infección explotan estos ejemplares? ¿Cómo consiguen interceptar las credenciales de las entidades financieras? A continuación se dará respuesta a éstas y otras preguntas, analizando las principales familias detroyanos bancarios, e intentando concienciar al lector de la creciente amenaza de estos ejemplares. I ¿Qué es un troyano bancario?
Este término alude al subconjunto de malware que persigue el robo de datos de cuentas bancarias electrónicas. En este contexto otros servicios financieros, por ejemplo realizar operaciones de bolsa online, también se consideran banca electrónica. Los troyanos que sediseñaron específicamente para capturar información bancaria comenzaron a aparecer en 2004. Fue en este año cuando se notó una evolución en los keyloggers 1 , o capturadores de teclas tradicionales, ya que se detectaron ejemplares que filtraban la captura de datos en función de las páginas visitadas. Desde entonces las técnicas de captura de credenciales y de monitorización de entidades visitadas sehan depurado tanto que los consejos de seguridad tradicionales, como observar la presencia del candado de seguridad en la página de la entidad bancaria, comprobar la autenticidad del certificado de seguridad, etc. son insuficientes. Con el fin de recoger la información únicamente de las páginas visitadas por el usuario, estos troyanos suelen recoger y actualizar listados de entidades bancarias,bien en su cuerpo, bien en un archivo de configuración que crean o que descargan desde un servidor malicioso. Algunos de estos troyanos tienen enormes listas de cadenas de monitorización de actividad bancaria, por ejemplo, la familia Sinowal emplea más de 2000.
Es un tipo de troyano que se caracteriza por capturar y almacenar las pulsaciones efectuadas sobre el teclado. Posteriormente estainformación (que puede contener información sensible) se envía a un atacante, que las puede utilizar en su propio provecho. Las últimas versiones de este tipo de programas maliciosos también hacen capturas de pantalla del equipo atacado. De esta forma, se hace ineficaz e inseguro el uso del teclado virtual.
1
“Qué son y cómo funcionan los Página 1 de OBSERVATORIOtroyanos LA SEGURIDAD DE LAINFORMACIÓN13 DE bancarios” Observatorio de la Seguridad de la Información
Ilustración 1: Pequeño extracto del archivo de monitorización de entidades de un troyano bancario (Sinowal, Torpig, Anserin)
Fuente: INTECO
Existen dos corrientes principales de malware bancario, según el país de origen de los diseñadores de los códigos maliciosos, la brasileña y la rusa. Por lo general los ejemplaresde la escuela rusa suelen ser mucho más sofisticados y silenciosos. También cabría citar a China y Corea, como otros orígenes emergentes en la generación de este tipo de códigos maliciosos. II Situación actual de equipos afectados por troyanos y troyanos bancarios
Para remarcar la importancia de este tipo de códigos maliciosos, y como se puede observar en el gráfico, en la actualidad, aseptiembre de 2009, un 7,2% de los equipos analizados alojan algún tipo de troyanos bancarios.
Gráfico: Evolución de equipos que alojan troyanos bancarios (%)
100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Jun'09 Jul'09 Troyanos Ago'09 Troyanos bancarios Sep'09 9,1% 8,8% 8,5% 7,2% 41,8% 40,9% 40,3% 35,4%
Fuente: INTECO
“Qué son y cómo funcionan los troyanos bancarios” Observatorio de la Seguridad...
Leer documento completo
Regístrate para leer el documento completo.